Marketingowcy powinni teraz podjąć konkretne kroki, aby przygotować się na CPRA w CA w 2023 roku

W zeszłym tygodniu wyborcy z Kalifornii przyjęli Propozycję 24, Kalifornijską ustawę o ochronie prywatności i egzekwowaniu (CPRA). Opiera się na kalifornijskiej ustawie o ochronie prywatności konsumentów (CCPA), która weszła w życie dopiero w tym roku. CPRA ma zastąpić go w 2023 roku.

Między innymi CPRA rozszerza rodzaje danych objętych (wszelkie dane „udostępniane” stronom trzecim); określa również konkretne kategorie wrażliwych danych osobowych, które wymagają szczególnej uwagi. Umożliwia konsumentom (i pracownikom) rezygnację z „technologii automatycznego podejmowania decyzji” (uczenie maszynowe). I tworzy dedykowany organ egzekwowania prawa, aby zapewnić zgodność.

Poprosiliśmy wielu marketerów cyfrowych i firmy technologiczne o konkretne porady dla marek, wydawców i reklamodawców na temat tego, co mogą lub powinni teraz zrobić, aby przygotować się na CPRA. Wśród naszych ekspertów byli Cillian Kieran , CEO Ethyca; Simon Poulton , wiceprezes ds. Inteligencji cyfrowej w Wpromote; Kristina Podnar , konsultant ds. Polityki cyfrowej; Gowthaman Ragothaman , dyrektor generalny Aqilliz; i Heidi Bullock , CMO w Tealium.

Kristina Podnar, konsultant i autorka ds. Polityki cyfrowej

Wprowadź / zwiększ przejrzystość. CPRA wprowadza mnóstwo nowych wymagań dotyczących wykorzystania danych w celu zwiększenia przejrzystości. Będzie to trochę powrót do RODO dla marketerów, którzy przeszli przez dostosowanie do tego rozporządzenia. Ale dla każdego marketera, który jeszcze nie podlega RODO, będzie to trudne do pokonania wzgórze. Firmy powinny zacząć zwracać uwagę na ochronę danych w fazie projektowania i praktyki zarządzania. W szczególności zwróć uwagę na minimalizację danych. Innymi słowy, zbieraj tylko te informacje, których potrzebujesz, aby robić to, co mówisz, że zrobisz dla użytkownika, powiedz mu, jak długo będziesz przechowywać jego dane, nie wykraczaj poza ten przedział czasowy dla własnych potrzeb marketingowych i rób tylko z danymi, które powiedziałeś użytkownikowi, zrobisz z nimi. Marketerzy będą musieli zacząć zwracać uwagę na to, jakie dane zbierają, dlaczego je zbierają i jak zarządzają tymi danymi przez cały cykl ich życia.

Pokaż, co robisz i nie kontroluj. Większość marketerów cyfrowych nie zdaje sobie sprawy z postępów sztucznej inteligencji i ML w stosie marketingowym, koncentrując się tylko na funkcjonalności front-endu i pożądanym wyniku w zakresie obsługi klienta. Będzie to musiało się zmienić w wyniku CPRA, który obecnie uznaje potrzebę zwiększenia regulacji dotyczących tej zdolności napędzanej maszyną. Marketerzy będą teraz musieli informować użytkowników, czy ich profilują i wyświetlają reklamy i promocje, korzystając z tych możliwości. Firmy muszą dostosować się do istniejącego obecnie śledzenia i sprzedaży na różnych urządzeniach, w wielu kanałach i w wielu firmach. Czemu? Ponieważ zgodnie z CPRA użytkownicy mogą teraz powiedzieć „nie śledź mnie w ten sposób”. Powinno to usunąć „przerażający” szum z systemu marketingowego z perspektywy użytkownika. Jednak z pewnością utrudni to marketerom i spowoduje przejście większej liczby firm do zerowego i własnego modelu danych.

Przestań kontrolować użytkowników. W związku z powyższym CPRA w szczególności ogranicza firmom angażowanie użytkowników w jakiekolwiek reklamy behawioralne w różnych kontekstach. Innymi słowy, marketerzy muszą być transparentni i nie mogą już w sposób pasywny nakłaniać użytkowników do usług lub produktów (np. Marketerzy nie mogą używać ciemnych wzorców do zbierania umów / zgód). Zadaniem marketerów jest ponowne przemyślenie struktur zgody, w tym CMP, w celu uniknięcia ciemnych wzorców i dorozumianych zgód, które są dziś wszechobecne.

Simon Poulton, wiceprezes ds. Inteligencji cyfrowej w Wpromote

Zgodność z CCPA. Ponieważ CPRA wejdzie w życie dopiero w 2023 r., Skup się na zapewnieniu zgodności z CCPA w najbliższej przyszłości (jeśli jeszcze tego nie zrobiłeś). W wielu przypadkach CPRA rozszerza zakres tego, co obejmuje CCPA, więc zgodność tutaj nadal będzie krokiem we właściwym kierunku. Należy zauważyć, że wszystkie regulacje objęte CPRA będą miały zastosowanie do wszystkich danych zbieranych od 1 stycznia 2022 r.

Udostępnianie = sprzedawanie. W ramach CCPA niektóre marki (np. Starbucks) wyraźnie oświadczyły, że nie postrzegają udostępniania danych jako sprzedaży. Jest to teraz jasno określone, a marki powinny pamiętać o wszystkich punktach udostępniania danych.

Zrób spis plików cookie. Jeśli jeszcze tego nie zrobiłeś, teraz jest świetny czas na przejrzenie wszystkich plików cookie i funkcji udostępniania danych, które istnieją w Twojej witrynie i skatalogowanie tego, co robią. Prawdopodobnie Twoje zespoły prawne będą musiały je zweryfikować raczej wcześniej niż później.

Cillian Kieran, założyciel i dyrektor generalny Ethyca

Sprawdź swoją zdolność do kategoryzowania danych, które zbierasz, przetwarzasz lub przechowujesz. W CPRA jest o wiele więcej niuansów dotyczących kategoryzacji danych użytkowników, a podmioty przetwarzające - w tym marketerzy - muszą być w stanie dyskretnie traktować różne kategorie danych osobowych. Oczywistym przykładem jest wprowadzenie wrażliwych danych osobowych (SPI). CPRA pozwala użytkownikom wskazać, że ich SPI będzie używany tylko do podstawowej dostawy towaru lub usługi. Wymaga to dokładniejszej kontroli przepływu danych w systemach zaplecza.

Przejrzyj wszystkie umowy, niezależnie od tego, czy jesteś wykonawcą, czy wykonawcą. CPRA wymaga znacznie większego poziomu szczegółowości w odniesieniu do relacji danych z partnerami. Każdy podwykonawca używany przez firmę związaną z CPRA musi również być w stanie zaoferować ochronę prywatności na poziomie CPRA. Zgodnie z IAPP: „Osoby trzecie, usługodawcy lub wykonawcy [muszą] zawrzeć umowę zobowiązującą odbiorcę do takiego samego poziomu ochrony prywatności, jaki przewidziano w ustawie, przyznając przedsiębiorstwu prawa do podjęcia rozsądnych i odpowiednich kroków w celu naprawienia nieuprawnionego użycia, oraz wymagając od odbiorcy powiadomienia firmy, jeśli nie może już przestrzegać ”.

Zostawimy ci coś, co z pozoru jest nieco prostsze (chociaż będziesz musiał poświęcić dużo czasu na ponowne przeanalizowanie danych „sprzedaż” i „udostępnianie”). Link „Nie sprzedawaj moich danych osobowych”, który umieściłeś na stronie głównej, dostosuj tak, aby brzmiał: „Nie sprzedawaj ani nie udostępniaj moich danych osobowych”.

Gowthaman Ragothaman, dyrektor generalny Aqilliz

Pozostawienie danych zewnętrznych - na dobre. Istotna zmiana w CPRA dotyczy poprawki do klauzuli CCPA „Do Not Sell”, która obecnie obejmuje praktykę udostępniania danych, często wykorzystywaną w ramach reklamy behawioralnej obejmującej wiele witryn i kierowania na odbiorców.

Dla marketerów i dużych firm technologicznych, które już zaczynają borykać się z nadchodzącym starzeniem się plików cookie innych firm, nie powinno to być zaskoczeniem. Na tym etapie marketerzy powinni już poszukiwać alternatyw, aby ograniczyć wykorzystanie danych innych firm do kierowania na odbiorców. Niezbędne będzie inwestowanie w strategiczne partnerstwa z sieciami wydawców, które rozwinęły własne pule danych lub dołączyły do ​​federacji danych. Marketerzy muszą również odpowiednio weryfikować partnerów wydawców, aby mieć pewność, że dane są pozyskiwane w widoczny, etyczny sposób.

Liczenie. Podobnie jak w przypadku ogólnego rozporządzenia o ochronie danych Unii Europejskiej, CPRA wymaga znacznie bardziej rygorystycznych wymogów sprawozdawczych, odzwierciedlających klauzulę RODO dotyczącą rejestru czynności przetwarzania. Firmy będą odpowiedzialne za udostępnienie wszystkich zebranych informacji o danym konsumencie, bezpośrednio lub pośrednio, niezależnie od miejsca udostępnienia danych.

W świetle tego marketerzy powinni być przygotowani do wzmocnienia istniejących inwestycji technologicznych w celu włączenia narzędzi do prowadzenia dokumentacji. Teraz, bardziej niż kiedykolwiek, należyta staranność będzie kluczowa. Posiadanie historycznego zapisu danych w całym ich cyklu życia będzie kluczowe dla zapewnienia, że ​​marketerzy są wystarczająco przygotowani do bardziej rygorystycznego raportowania i ujawniania informacji wymaganych przez CPRA.

Koncentrując się na tym, co konieczne, a nie na tym, co przyjemne. CPRA rozszerzył również zakres tego, co definiuje jako „wrażliwe dane osobowe”. Oprócz informacji o rachunkach finansowych, takich jak numery kart kredytowych i identyfikatory wydawane przez władze, teraz obejmuje to również pochodzenie rasowe lub etniczne, orientację seksualną, przekonania religijne i, co może najważniejsze, „dokładną geolokalizację”, która jest kluczowa dla kierowania na odbiorców. Zgodnie z CPRA konsumenci będą teraz mieli możliwość ograniczenia zarówno wykorzystywania, jak i ujawniania wrażliwych danych osobowych.

Ponieważ marketerzy patrzą w przyszłość w zakresie segmentacji odbiorców i wysiłków związanych z ukierunkowaniem, będą musiały zostać wprowadzone istotne zmiany. Chociaż w przeszłości branża rozkoszowała się obfitością danych, marketerzy będą musieli dokonać kluczowej zmiany w myśleniu, biorąc sobie do serca minimalizację danych. Aby zapewnić odpowiednie praktyki minimalizacji danych, firmy powinny nie tylko ponownie przeanalizować swoje praktyki w zakresie przechowywania danych pod kątem odpowiednich czasów przechowywania, ale także rozważyć włączenie danych, przechowywania i minimalizacji celu do swoich strategii zarządzania danymi. Należy również uwzględnić opcje rezygnacji z gromadzenia i wykorzystywania wrażliwych danych osobowych. Strategie zaangażowania odbiorców będą musiały zostać na nowo zdefiniowane i pójść o krok dalej. Dostawców technologii i infrastruktury należy teraz wybierać również na podstawie lepszego umożliwienia kultury minimalizacji danych.

Heidi Bullock, dyrektor ds. Marketingu w Tealium

Zrozum swoje dane obok zgody. Marki muszą znać dokładną treść i źródło swoich danych, zwłaszcza w obliczu przyszłości pełnej niezliczonych nowych przepisów. Obejmuje to wskazanie typów danych, które są gromadzone - od centrum obsługi telefonicznej po dane poczty e-mail i witryn internetowych - oraz sposób przepływu tych danych w firmie. Inne czynniki do rozważenia to, skąd pochodzą dane, jak są przechowywane i jak są wykorzystywane przez markę. Wszystko to należy zrobić w kontekście indywidualnej zgody, która jest za jej pomocą zbierana, która określa zasady wykorzystania danych każdej osoby.

Zaktualizuj zasady dotyczące marki. Dobrze jest ponownie zapoznać się z zasadami CCPA i upewnić się, że wszystkie procesy są zaktualizowane, aby były zgodne z najnowszymi przepisami, w tym nowym prawem CPRA do korekty. Zapewnienie, że zasady są nadal zgodne i jasne dla pracowników i konsumentów, pomaga zachować wszechstronne zrozumienie prywatności w całej marce.

Utrzymaj zaufanie konsumentów. Ma to kluczowe znaczenie, zwłaszcza że przepisy te leżą w najlepszym interesie konsumentów. Niedawne badanie Tealium wykazało, że przed COVID 91% konsumentów chciałoby, aby rząd stanowy lub federalny wprowadził surowe przepisy w celu ochrony ich danych.

Zapoznaj się z nowymi koncepcjami zarządzania. CPRA ogranicza teraz czas, jaki marki mogą przechowywać na danych osobowych w nowym wymogu dotyczącym ograniczenia przechowywania, dlatego ważne jest, aby wziąć pod uwagę ten harmonogram podczas gromadzenia, wykorzystywania lub udostępniania danych konsumentów, aby zapewnić, że pozostaną one w rozsądnym oknie. Zdolność do zarządzania danymi na poziomie indywidualnym w zautomatyzowany sposób w czasie rzeczywistym będzie miała kluczowe znaczenie dla przedsiębiorstw w zakresie przestrzegania tych nowych koncepcji.

Wyznacz eksperta ds. Prywatności. Ponieważ pojawia się coraz więcej przepisów, kluczowe staje się, aby marki przydzielały zadania wewnętrznie, aby zachować zarówno odpowiedzialność, jak i organizację. Procesy wewnętrzne są równie ważne jak komunikacja skierowana do konsumenta. Eksperci ds. Prywatności z głębokim zrozumieniem dla Martech są teraz bardziej potrzebni niż kiedykolwiek, ponieważ złożoność samego Martech sprawiała, że ​​firmy były wcześniej zajęte.